目录
一、Secret配置管理介绍
Secret 对象类型用来保存敏感信息,例如密码、OAuth 令牌和 ssh key。 敏感信息放在 secret 中比放在 Pod 的定义或者容器镜像中来说更加安全和灵活。
Pod 可以用两种方式使用 secret:
• 作为 volume 中的文件被挂载到 pod 中的一个或者多个容器里;
• 当 kubelet 为 pod 拉取镜像时使用。
Secret的类型:
• Service Account:Kubernetes 自动创建包含访问 API 凭据的 secret,并自动修改 pod 以使用此类型的 secret。对应的 secret 会自动挂载到Pod 的 /run/secrets/kubernetes.io/serviceaccount 目录中
• Opaque:使用base64编码存储信息,可以通过base64 --decode解码获得原始数据, 因此安全性弱。
• kubernetes.io/dockerconfigjson:用于存储docker registry的认证信息。
对于每一个namespace的sa都有一个默认的default用来使得pod连接apiserver;每个namespace下有一个名为default的默认的ServiceAccount对象;
ServiceAccount里有一个名为Tokens的可以作为Volume一样被Mount到Pod里的Secret,当Pod启动时这个Secret会被自动Mount到Pod的指定目录下,用来协助完成Pod中的进程访问API Server时的身份鉴权过程。
![](https://i-blog.csdnimg.cn/blog_migrate/58a6a7135168dfce2285db2aa7e367fa.png)
二、创建一个Secret
2.1 从文件创建
##创建用户和密码的文件
[root@server1 secret]# echo -n 'admin' > ./username.txt
[root@server1 secret]# echo -n 'password' > ./password.txt
[root@server1 secret]# ls -a
. .. password.txt username.txt
###通过文件创建
[root@server1 secret]# kubectl create secret generic db-user-pass --from-file=./username.txt --from-file=./password.txt
secret/db-user-pass created
##查看秘密内容
[root@server1 secret]# kubectl get secrets
NAME TYPE DATA AGE
db-user-pass Opaque 2 18s
default-token-drfsm kubernetes.io/service-account-token 3 36d
##含有特殊字符时的创建
[